刚刚,两名研究员Alex Ionescu 和 Yarden Shafir发布了存在于 Windows 打印服务中的一个漏洞详情,并指出它影响自1996年以来发布 (Windows NT 4) 的所有 Windows 版本。
该漏洞被称为 “PrintDemon”,位于负责管理打印操作的 Windows 主要组件 Windows Print Spooler 中。该服务可发送数据使数据打印到物理连接的打印机的 USB/平行端口中;也可以使数据打印到位于本地网络或互联网上的打印机的 TCP 端口;或者打印到本地文件中,以便用户保存打印任务。
这两名研究员表示他们在这个老旧组件中发现了 PrintDemon 漏洞,它可被滥用于劫持 Printer Spooler 的内部机制。该漏洞无法被用于通过互联网远程入侵 Windows 客户端,因此不可被用于在互联网上随机入侵 Windows 系统。研究员指出,PrintDemon 漏洞是一个本地提取漏洞,也就是说只要攻击者在一款应用或 Windows 机器中占有最微小的立足点,那么即使在用户模式权限下,攻击者能够运行像非权限的 PowerShell 命令那样简单的命令,获得整个操作系统的管理员级别的权限。这两名研究人员表示,鉴于 Print Spooler 服务设计的运作机制,这种情况是很可能发生的。由于 Print Spooler 服务可用于任何想要打印文件的 app 上,因此适用于所有在一个系统上运行的 app 且不存在任何限制条件。攻击者能够创建一个打印任务,将数据打印到文件上如操作系统过其它 app 使用的本地 DLL 文件。攻击者能够初始化打印操作,故意导致 Print Spooler 服务崩溃,之后让打印任务继续但这次打印操作以系统权限运行,从而覆写操作系统上任意位置的任意文件。Ionescu 在推特上发文称,在当前操作系统上利用该漏洞只需一行 PowerShell 即可。而在老旧 Windows 版本上则需要做出一些修改。他指出,“在未修复系统上,这将导致安装的持久后门打补丁后也不会消失。”
好在这个漏洞现已修复,因此这两名研究员公开披露了该漏洞的详情。微软已经在昨天发布的5月“补丁星期二”中发布了补丁。PrintDemon 漏洞编号为 CVE-2020-1048。SafeBreach Labs 的两名安全研究员也独立报告了这个问题。Ionescu 还在 GitHub 上发布了 PoC 代码,希望能够帮助安全研究员和系统管理员调查该漏洞并准备缓解措施和检测能力。上个月,这两名研究员还发布了类似漏洞 FaxHall 的详情和 PoC 代码。虽然FaxHall 的运行原理类似于 PrintDemon,不过研究员利用这款 Windows Fax 服务覆写并劫持本地 (DLL) 文件在 Windows 系统上安装 shell 和后门。https://windows-internals.com/printdemon-cve-2020-1048/
https://www.zdnet.com/article/printdemon-vulnerability-impacts-all-windows-versions/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~